本书从国际视野研究Web安全，精选国内外知名的21种常见Web安全攻击进行深度揭密，对Web安全攻防有很好的借鉴作用，本书21章节安排如下。本书从国际视野研究Web安全，精选国内外知名的21种常见Web安全攻击进行深度揭密，对Web安全攻防有很好的借鉴作用

前言 为实施国家安全战略,加快网络空间安全高层次人才培养,2015年6月,“网络空间安全”已正式被教育部批准为国家一级学科。 Web的开放与普及性,导致目前世界网络空间70%以上的安全问题都来自Web安全攻击。当前，国内与国际Web安全研究鱼目混珠,国内还没有一本书全面讲解Web安全常见攻击产生的原因,哪些网站可以复现这些攻击,如何有效防护各种特定的攻击。这也是本书出版的主要原因。许多软件企业将软件的功能放在第一位,忽视了安全是开发流程中的一个重要环节,一旦有严重的安全漏洞,即使开发的功能再好,也会因存在重大安全问题,没有用户敢于冒险使用,而出现无法挽回的后果。 由于作者参与研发的在线会议系统直接面向国际市场,典型客户包括世界著名的银行、金融机构、IT业界、通信公司、政府部门等,这使得作者早在十多年前就可以接触国际上最前沿的各类Web安全攻击方式,研究每种攻击方式可能给网站或客户带来的损害,以及针对每种攻击的最佳解决方案。 多年来,作者一直致力于各种Web安全问题解决方案的研究,力图从系统设计、产品代码、软件测试与运营维护多个角度全方位打造安全的产品体系。虽然在Web安全领域“破坏总比创建容易”,作者也曾为寻找某类攻击最佳解决方案,碰到过许多挫折,但在Web安全求真求实的路上不忘初心,令人欣慰的是,“方法总比困难多”。 国际上对Web安全的研究十多年前已经开始,国内对这一领域重视始于近几年,习近平总书记的“把我国从网络大国建设成为网络强国”“没有网络安全就没有国家安全,没有信息化就没有现代化”让作者感受到责任重大。当前,国内与国际Web安全领域纷繁复杂、乱象丛生,各种攻击方式层出不穷,局内人看似“黑云压城城欲摧”,局外人看似“乱花渐欲迷人眼”。作者希望通过不断努力,做到“拨开云雾始见天”！ 为了达到“拨开云雾始见天”,作者准备将十多年在工业界的实战经验,以及对国际与国内Web安全领域的研究,分三个阶段展示出来。 第一阶段: 对目前国际上流行的Web安全工具的使用进行深层剖析与揭密。要知道,在Web安全攻击层面上,70%以上的人都不擅长计算机编程,他们只是选择一些工具,就轻而易举地攻破网站防线。流行工具的使用,方便网站开发人员与维护者,在网站被“黑”之前,能有针对性地做些必要的防护，最终形成《Web网站漏洞扫描与渗透攻击工具揭秘》一书。此书于2016年由清华大学出版社出版。 因为工具大多是通过模式匹配做成的,如0 day攻击之类、与网站自身业务流程相关逻辑、网站复杂身份权限定义之类等,用工具也帮不了什么忙。工具一般只能解决网站30%左右的漏洞攻防,所以研发更安全的Web网站还需要进一步深入研究。 第二阶段: 深入分析目前能见到的各种Web安全问题的攻击方法和攻击面,涉及的技术有典型Web安全问题的手动或工具验证技巧,以及从代码的角度如何进行有效防护，最终形成《Web安全开发与攻防测试》一书， 本书2021年由清华大学出版社出版。 如果仅从Web安全开发与攻防测试的角度做Web安全还不够,如何能建立一个有效的防护机制,而不只是对原有的系统安全漏洞不停地修修补补,一旦有新的攻击入侵，就如临大敌。没有一个安全的架构,没有主动预防与预警机制,Web安全就会做得很被动。 第三阶段: 从安全设计、安全开发、安全测试、安全运维等多层次、多角度、全方位实施安全策略,努力做到全面防护Web安全，最终形成《Web安全360度全面防护》一书。 对Web安全的深入研究,让读者体会其深邃的内涵,如果仅用一本书,很难将其表达得淋漓尽致，讲述得层次分明,所以作者将Web安全方面的研究划分为三个阶段。希望这三个阶段的研究成果,能为国内的Web安全研究打下良好的基础,能引领国内Web安全研究成员从国际视野看Web安全,并研讨其最佳解决方案。 Web安全开发与攻防测试前言本书内容安排 本书从国际视野研究Web安全,精选国内外知名的21种常见Web安全攻击进行深度揭秘,对Web安全攻防有很好的借鉴作用。本书共21章，各章安排如下: 第1章: SQL注入攻击与防护 第2章: XSS攻击与防护 第3章: 认证与授权的攻击与防护 第4章: Open Redirect攻击与防护 第5章: IFrame框架钓鱼攻击与防护 第6章: CSRF/SSRF攻击与防护 第7章: HTML/CRLF/XPATH/Template注入攻击与防护 第8章: HTTP 参数污染/篡改攻击与防护 第9章: XML外部实体攻击与防护 第10章: 远程代码执行攻击与防护 第11章: 缓存溢出攻击与防护 第12章: 路径遍历攻击与防护 第13章: 不安全的配置攻击与防护 第14章: 不安全的对象直接引用攻击与防护 第15章: 客户端绕行攻击与防护 第16章: 应用层逻辑漏洞攻击与防护 第17章: 弱/不安全加密算法攻击与防护 第18章: 暴力破解攻击与防护 第19章: HTTP Header攻击与防护 第20章: CORS攻击与防护 第21章: 文件上传攻击与防护 作者与贡献者 本书由王顺策划与编写,为达到书籍中所研究的Web安全工具特色鲜明、领域领先,书中21种攻击方式均由王顺精心选取。为保持书籍风格统一,本书21章的总体框架设计与所有内容均由王顺选取与编写。 为了使Web安全开发与攻防测试的每一种攻击试验结果可以重复出现,本书收录的21章三轮试验分别由罗飚、杨利华、甘佳、李凤完成。 同时,为保证Web安全开发与攻防测试三轮的攻防试验与试验结果的整理分析风格统一、过渡自然、便于阅读,王顺认真组织了内部三轮审阅与修订,保证书籍的出版质量。 书中使用的各大系统 我们做Web安全研究的目的是构建更安全可信的网络体系。同时,可以看到,Web安全是一把双刃剑,如果不遵守国家相关法律、法规,容易走向犯罪的道路。书中各种工具演示攻击的系统都是选自国外供Web安全研究成员任意攻击的系统。 国外Web安全攻防演练网站如下: 也有自己做的Web应用,用于Web安全攻防演练。读者使用本书的各种Web安全漏洞扫描与渗透攻击工具,切记不可非法攻击他人网站。 致谢 感谢清华大学出版社提供的这次合作机会,使该实践教程能够早日与大家见面。 感谢团队成员的共同努力,因为大家都为一个共同的信念——“为加快祖国的信息化发展步伐而努力”——而紧密团结在一起。感谢团队成员的家人,是家人和朋友的无私关怀和照顾,最大限度的宽容和付出成就了这一教程的付梓。 由于作者水平与时间的限制,本书难免会存在一些问题,欢迎读者批评指正。 后记 您也可以到书籍官网进行更深层次的学习与讨论。欢迎大家进入官网查看最新的书籍动态,下载配套资源,和我们进行更深层次的交流与共享。 王顺2021年1月于合肥高新区九玺花园

版权图片链接